Участники CA/Browser Forum проголосовали за значительное сокращение срока действия сертификатов SSL/TLS в течение следующих четырёх лет. В 2029 году он будет составлять всего в 47 дней вместо нынешних 398.
CA/Browser Forum — это группа центров сертификации и поставщиков программного обеспечения, включая разработчиков браузеров, которые работают над установлением и поддержанием стандартов безопасности для цифровых сертификатов, используемых в интернет-коммуникациях. В его состав входят основные ЦС, такие как DigiCert и GlobalSign, а также поставщики браузеров, такие как Google, Apple, Mozilla и Microsoft.
Ранее в этом году Apple предложила сократить срок действия сертификатов, а команды Google Chrome и Mozilla поддержали этот шаг.
Цель меры — минимизировать риски, связанные с устаревшими данными сертификатов, устаревшими криптографическими алгоритмами и длительным воздействием скомпрометированных учётных данных. Также CA/Browser Forum призывает компании и разработчиков использовать автоматизацию для обновления и ротации сертификатов TLS. Это снижает вероятность того, что сайты будут работать на просроченных сертификатах.
Сертификаты SSL/TLS обеспечивают безопасную связь через Интернет (HTTPS) путем шифрования данных и аутентификации веб-сайтов. Они шифруют соединение, поэтому конфиденциальные данные, такие как пароли и данные кредитных карт, введённые в формы веб-сайта, не могут быть перехвачены злоумышленниками.
Эти сертификаты также используются для аутентификации веб-сайта и гарантируют целостность данных. Когда срок действия сертификатов SSL/TLS истекает без продления, пользователи видят в своём браузере предупреждение о том, что их соединение не является конфиденциальным или безопасным.
В настоящее время срок действия и проверка контроля домена (DCV) этих сертификатов составляют 398 дней.
CA/Browser Forum предложил сократить срок действия сертификатов и проверки следующим образом:
с 15 марта 2026 года — до 200 дней;
с 15 марта 2027 года — до 100 дней;
с 15 марта 2029 года срок действия сертификата будет сокращён до 47 дней, а DCV — до 10 дней.
Такая мера приведёт к росту расходов на управление и добавит нагрузку для тех, кто работает с несколькими доменами. Однако ожидается, что это приведет к более частой повторной проверке компаний, запрашивающих сертификаты, поощрит автоматизацию и в конечном итоге сделает экосистему более гибкой и безопасной.
Осенью сообщалось, что центры сертификации и разработчики браузеров планируют прекратить использование данных WHOIS для подтверждения права собственности на домен. Такое решение было принято после отчёта, который продемонстрировал, как хакеры могут злоупотреблять этим процессом для получения мошенническим образом выпущенных сертификатов TLS.
